Reglamento Europeo de Inteligencia Artificial

No cabe duda de que la inteligencia artificial es uno de los temas más polémicos de la actualidad. Muchas voces estaban reclamando desde hacía tiempo la existencia de un marco legislativo que pusiera freno a sus posibles efectos adversos. El Reglamento Europeo de Inteligencia Artificial se ha creado con ese objetivo.

El Reglamento incluye

• Las reglas para poner en marcha o mercado sistemas de IA en la Unión Europea.
• Prohíbe diversas prácticas de inteligencia artificial imponiendo requisitos a sistemas de IA de alto riesgo y obligaciones a los operadores relacionados con ese sistema.
• Impone reglas de transparencia para ciertos sistemas de IA.
• Establece reglas para la monitorización y la vigilancia de mercado.
  Introduce medidas para la innovación.

En el contenido del Reglamento se introduce un número importante de definiciones siendo estas de particular interés, tales como sistemas de inteligencia artificial, proveedor o usuario.

Qué es un sistema de inteligencia artificial

Un sistema de inteligencia artificial es aquel que opera con elementos de autonomía y que, basándose en datos y entradas obtenidos de humanos o máquinas, infiere cómo alcanzar unos objetivos propuestos, usando para ello técnicas basadas en el aprendizaje-máquina o en lógica y conocimiento, y genera como salida contenidos, predicciones, recomendaciones o decisiones que influyen en el entorno con el que el sistema interactúa.

Por proveedor, el reglamento entiende a toda persona física o jurídica o entidad pública que desarrolla o para quien se desarrolla un sistema de IA y lo pone en servicio o lo comercializa bajo su nombre o marca, mediando un pago o no.

Un usuario es toda persona física o jurídica, pública o privada, bajo cuya autoridad se utilice el sistema.

Ámbito de aplicación del reglamento

El Reglamento se aplica a:

• Proveedores que comercialicen o utilicen sistemas IA en la Unión, dondequiera que estén presentes. 
• Proveedores y usuarios de terceros países cuyos sistemas produzcan resultados que se utilicen en la Unión.
• Usuarios físicamente presentes o establecidos en la UE. 
• Proveedores de estos sistemas y sus representantes autorizados, importadores y distribuidores

El reglamento no es aplicable a:

• Autoridades públicas de terceros países.
• Organizaciones internacionales cuando unos utilicen sistemas IA en el ámbito de la cooperación policial o judicial con la UE o sus EEMM.
• Sistemas de uso militar, o utilizados en el contexto de la seguridad nacional.
• Sistemas utilizados con el solo propósito de la investigación y el desarrollo científico.

Sistemas de IA prohibidos

Se determinan determinados Sistemas de IA que quedan prohibidos. Entre ellos, destacan:

• Los que desplieguen técnicas subliminales con el objetivo de distorsionar el comportamiento de una persona de manera que pueda causarle daños físicos o psicológicos a él o a otros.
• Los que exploten vulnerabilidades de un grupo específico de personas por su edad, discapacidad o situación social o económica de forma que distorsionen el comportamiento de estas personas y probablemente les causen daños a ellas o a otras.
• Sistemas de IA que elaboren perfiles de personas según su comportamiento, creando un «baremo social» que pueda resultar en que personas o grupos reciban un trato desproporcionadamente desfavorable al comportamiento observado, o en un trato desfavorable en un contexto que no es aquél donde se recogieron los datos.
• Se prohíbe el uso para aplicaciones policiales o de orden público de la identificación biométrica en tiempo real en lugares accesibles al público por parte de las fuerzas y cuerpos de seguridad, o en su nombre, con algunas salvedades.

Sistemas IA de propósito general (GPAIS)

El Reglamento introduce los denominados sistemas de IA de propósito general (GPAIS). Son sistemas de IA que no tienen un propósito previsto inicial, pero que pueden ser entrenados o modificados para cumplir un propósito que podría convertirlos en sistemas de alto riesgo. Por tanto, deberán cumplir ciertos requisitos para que todos los actores de la cadena puedan cumplir a su vez con los requisitos del Reglamento.

Estos requisitos serán los que se aplican a los Sistemas de Inteligencia Artificial de Alto Riesgo, pero adaptados a los GPAIS mediante un acto de ejecución de la Comisión Europea que seguirá a la promulgación del Reglamento.

Los GPAIS quedarán libres de esos requisitos cuando el proveedor excluya explícitamente en su documentación todo uso de alto riesgo.

Si este proveedor detecta o es informado de mal uso, tendrá que tomar las medidas necesarias.

Sistemas de IA de Alto Riesgo (HRAIS)

El Reglamento establece una jerarquía de riesgos en función del uso de la IA, y establece una serie de obligaciones sobre las categorías detectadas.

El Reglamento dedica gran parte de su articulado a regular los sistemas de alto riesgo, que divide en dos grandes grupos

Por un lado, mediante un análisis de riesgos se ha identificado un conjunto de familias de sistemas de IA que pueden considerarse de alto riesgo si su salida es relevante respecto a una acción o decisión que pueda presentar un riesgo a la salud, la seguridad o los derechos fundamentales.

El Reglamento enumera y describe este conjunto, que incluye, entre otros, sistemas de identificación biométrica, de protección de infraestructuras críticas, de selección y promoción de personal, de utilización en fronteras, o los usados por las Fuerzas y Cuerpos de Seguridad del Estado o la Administración de Justicia. La Comisión puede actualizar esta lista mediante un acto delegado.

Por otro lado, existen productos que ya están regulados por normativa armonizada de la UE, y que bajo esa normativa están sujetos a evaluación de conformidad. Hay un conjunto limitado de familias de estos productos, que incluye entre otros los dispositivos médicos, los trenes o la maquinaria. Un sistema IA que constituya uno de estos productos, o constituya un componente de seguridad de uno de estos productos, estará sujeto a su correspondiente normativa armonizada.

Exigencias de los proveedores de sistemas de alto riesgo

Los proveedores de sistemas de alto riesgo deben cumplir con una serie de exigencias:

Se contará con un sistema de gestión de riesgos para el sistema de IA de alto riesgo. Contemplará, en particular, los riesgos sobre la salud, seguridad y derechos fundamentales relacionados con su propósito.

Se establecerá una gobernanza y gestión de los datos de entrenamiento y prueba, asegurando buenas prácticas en su diseño, recolección y preparación, asegurando su relevancia y corrección y sus apropiadas propiedades estadísticas, evitando sesgos que afecten negativamente a las personas.

• Los sistemas irán acompañados de documentación técnica actualizada, que demuestre que se cumplen los requisitos exigidos.
• Los sistemas tomarán automáticamente registros de actividad del sistema.
• Se aportará información a los usuarios sobre las capacidades del sistema, sus requisitos de equipamiento, su ámbito de aplicación, su nivel de precisión, las condiciones de utilización que pueden implicar riesgos, los sistemas para supervisión humana, etc.
• Los sistemas permitirán la supervisión por personas durante su uso para minimizar los riesgos a la salud, seguridad y derechos fundamentales, en particular de los riesgos residuales tras la aplicación de medidas de mitigación.
• Los sistemas proporcionaran un nivel adecuado de precisión, robustez y ciberseguridad, que se declarará en la documentación que los acompaña.

Entidades de supervisión

A nivel europeo, se constituirá un Comité Europeo de Inteligencia Artificial, donde participará un representante de cada Estado miembro. El Comité orientará sobre la implementación del reglamento, elaborará guías y establecerá las reglas básicas para elaborar sandboxes.

A nivel nacional existirán al menos una autoridad nacional notificante y al menos una autoridad de supervisión de mercado.

Autoridad notificante

En el esquema de certificación de productos que propone el Reglamento, una autoridad notificante habilita a organismos de evaluación de conformidad para hacer las evaluaciones de conformidad en materia de IA a productos que quieran comercializar o poner en funcionamiento los proveedores. 

Autoridad de supervisión de mercado

Las autoridades de supervisión de mercado monitorizarán el correcto funcionamiento, ya en mercado, de sistemas de IA de alto riesgo. Identificarán riesgos sobrevenidos, incidentes u otras situaciones que exijan tomar medidas sobre los sistemas de IA de alto riesgo.

Los sistemas de IA regulados por su propia normativa (segundo grupo de los antes descritos) estarán supervisados por la autoridad de supervisión designada en esa normativa.

Para el caso de sistemas de identificación biométrica utilizados para fuerzas y cuerpos de seguridad del estado, migración y administración de justicia, las autoridades de supervisión serán, o bien las autoridades nacionales de supervisar las actividades de seguridad, migración y asilo, o bien la agencia de protección de datos.

Cómo aplicar la normativa de la IA en mi trabajo

Para incorporar la normativa europea de inteligencia artificial en tu entorno laboral, asegúrate de:

• Identificar la aplicabilidad: comprende si tus sistemas de IA se ven afectados por esta normativa.
• Clasificar los sistemas: determina si operas con sistemas de IA de alto riesgo y ajusta tus procesos según los requisitos específicos.
• Implementar medidas de conformidad: establece prácticas de gestión de riesgos, mantenimiento de registros y transparencia para garantizar el cumplimiento continúo.

Al seguir estos pasos, podrás adaptar tus operaciones a las exigencias del nuevo reglamento. Contribuye a promover un uso ético y seguro de la inteligencia artificial en tu sector.

Palau i Associats puede acompañarte en este proceso. Combinamos la experiencia que nos otorgan los años de ejercicio, con la atención a las novedades y cambios legislativos que pueden afectar a nuestros clientes. Si crees que la normativa sobre inteligencia artificial puede afectar a tu empresa, ponte en contacto con nosotros y te ayudaremos a adaptarte.

Y mientras tanto, no te pierdas ninguno de los artículos de nuestro blog, en el que vamos publicando periódicamente noticias relevantes para el mundo empresarial.